renamed script

new dns fu

clean up files another way

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

try this

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Fdb instead of F

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix some errors

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

also produce dbm files additionaly to cdb

We need to migrate from CDB to DBM, as there is no python-cdb in Debian
stable any more. Provide both file formats, so we can migrate from CDB
to DBM painlessly.

Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

We've been removing this symlink for a decade

I think we're safe now.

Signed-off-by: Stephen Gran <steve@lobefin.net>

Changelog

Export host keys for gitolite too

and a changelog entry

Fix unix mtime triggers for ud-generate

Previously we only checked if a file had been modified since our last
run.  That didn't catch changes that were only made visible for the next
run.  I.e. a file was changed on some host, ud-generate runs finds no
need to re-generate and stores timestamp X to its statefile.  We rsync
that file to us and on the next ud-geneate run it finds no files
modified since X.

And also for guests

We use schroot now

Fix a typo

Fix ipv6 check

use valid MX syntax

Allow incoming-mx remapping in ud-generate

ud-generate: Support writing gitolite config for just one user-group

Fix typo in help output

Minor variable rename

Minor refactoring of IsInGroup so it can take arrays and dicts

ud-generate: Allow more than one email address in userForward.  Quite useful for role accounts

disable dnsZoneEntry and privateSub for guest accounts
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix generation of voip-passwords file
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix permissions
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

allow listmasters to write to the privateSub attribute
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

s/looses/loses/

Merge branch 'master' of git+ssh://db.debian.org/git/userdir-ldap

* 'master' of git+ssh://db.debian.org/git/userdir-ldap:
  fix
  userdir-ldap-slapd.conf.in: explicitly list readable attributes.  End with 'by * none'.
  ud-generate: Also rebuild if one of our keyrings has changed, even if ldap has not.
  ud-lock: support supplying a status to set instead of 'retiring'

add voipPassword
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

fix

userdir-ldap-slapd.conf.in: explicitly list readable attributes.  End with 'by * none'.

ud-generate: Also rebuild if one of our keyrings has changed, even if ldap has not.

ud-lock: support supplying a status to set instead of 'retiring'

Merge branch 'master' of git+ssh://db.debian.org/git/userdir-ldap

* 'master' of git+ssh://db.debian.org/git/userdir-ldap:
  change mailPreserveSuffixSeparator to a string Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

change mailPreserveSuffixSeparator to a string
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

change mailPreserveSuffixSeparator to a string
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

Merge branch 'master' of git+ssh://db.debian.org/git/userdir-ldap

* 'master' of git+ssh://db.debian.org/git/userdir-ldap: (21 commits)
  ud-generate: lock replicators
  Set generate_dir in the non-override case
  Get lock sooner, connect to ldap later
  flocks do not need freeing
  Profile if UD_PROFILE is in environment
  No need to depend on python-lockfile anymore
  Use flock()
  Use eatmydata!
  UDLdap.py: make a cache for __getitem__() decisions.
  No need to mkdir userkeys directory anymore
  get rid of global state variable CurrentHost.  This will enable upcoming changes.
  GenerateDir is no longer a global var
  minor nit
  speed up ssh tarball generation
  ud-generate speed, I
  ud-generate: Move main code into a ud_generate()
  ud-generate: Add -f option to build even if cache is current
  ud-generate: Move code into getLastBuildTime() and getLastLDAPChangeTime() functions.
  ud-generate: No longer expand $ in dnsZoneEntry data to a \n\t.
  changelog entry for ud-mailgate fix
  ...

add mailPreserveSuffixSeparator to LDAP schema
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

ud-generate: lock replicators

ud-generate: The ssh authorized_keys file for the sshdist user now wraps
the rsync call in an flock wrapper that acquires a shared lock on
ud-generate's lock.  This prevents syncing while ud-generate runs.

Set generate_dir in the non-override case

Get lock sooner, connect to ldap later

flocks do not need freeing

Profile if UD_PROFILE is in environment

No need to depend on python-lockfile anymore

Use flock()

Use eatmydata!

UDLdap.py: make a cache for __getitem__() decisions.

No need to mkdir userkeys directory anymore

get rid of global state variable CurrentHost.  This will enable upcoming changes.

GenerateDir is no longer a global var

minor nit

speed up ssh tarball generation

No longer write indidividual user's ssh authorized_keys to disk, only to
read them later.  Directly create a TarInfo object without referring to
any on-disk files.

ud-generate speed, I

cut down on calls to IsInGroup by doing it once in generate_host() and
not having the individual generators run it.

side effect: Up until now we exported empty groups to a host, if that group had
a user with that group as their primary group - even if that particular user
was not exported to this this.  No we no longer export empty groups.

ud-generate: Move main code into a ud_generate()

ud-generate: Add -f option to build even if cache is current

ud-generate: Move code into getLastBuildTime() and getLastLDAPChangeTime() functions.

ud-generate: No longer expand $ in dnsZoneEntry data to a \n\t.

changelog entry for ud-mailgate fix

Do not try to do an ldap modify with no changes - now show command to changes@ should work again

fix dependency, needed by ud-generate

Make cache_last_mod thing more robust

make ud-generate work when there is no previous run that created last_update.trace

debianGroups may have cn attribute

Merge from torproject.org:

- Allow sshRSAAuthKey for role accounts.
- Support ssh key attributes for gitolite export.
- Add ssh-gitolite support.

One less hardcode debian.org domain in slapd.conf snippet

changelog entry

Signed-off-by: Stephen Gran <steve@lobefin.net>

purge old logs

Signed-off-by: Stephen Gran <steve@lobefin.net>

and ship new file to hosts

Signed-off-by: Stephen Gran <steve@lobefin.net>

Write both time of last ldap update and time of last run to trace file

Signed-off-by: Stephen Gran <steve@lobefin.net>

record both time of last action and last run
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-replicate: set correct permissions for web-passwords
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

export webPassword
Signed-off-by: Martin Zobel-Helas <zobel@debian.org>

mess with uid number generation

* Allow a set of users to be ignored for picking UIDs.
* When picking uid/gid numbers try to pick the same number for both.

Introduce BaseBaseDN which is the real base dn

userdir_ldap.py: read auth password from environment if set

Sync welcome-message-800

add webPassword

add webPassword

Merge branch 'master' of ssh://db.debian.org/git/userdir-ldap

Fix some usages of hardcoded debian.org
Signed-off-by: Stephen Gran <steve@lobefin.net>

Update to match live slapd.conf
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-replicate: now preserve server side modifcation times when rsyncing data

fix breaking old ud-generate locks.

ud-replicate: do not hard-code 'debian.org' in the 'write-zonefile debian.org' call, but instead re-use the domain from email-append.

why does python not believe in variable scoping, but then complain about it?

Signed-off-by: Stephen Gran <steve@lobefin.net>

mmmm, that's likely to be a namespace clash
Signed-off-by: Stephen Gran <steve@lobefin.net>

We need to use an actually defined variable name
Signed-off-by: Stephen Gran <steve@lobefin.net>

ud-mailgate: only run ldapmodfiy if we actually have attributes to modify.

Add slapo-constaint for keyfingerprint

Make ud-generate pull the last modification time out of ldap and only
run if ldap has been updated.  We have some more architecture work to do
before this can go live without making the monitoring go insane.
Signed-off-by: Stephen Gran <steve@lobefin.net>

and changelog too

Signed-off-by: Stephen Gran <steve@lobefin.net>

update Net::LDAP import

Signed-off-by: Stephen Gran <steve@lobefin.net>

and some changelog

Signed-off-by: Stephen Gran <steve@lobefin.net>

more sha module

Signed-off-by: Stephen Gran <steve@lobefin.net>

get rid of most uses of sha module

Signed-off-by: Stephen Gran <steve@lobefin.net>

Handle capital {CRYPT} in userpasswd

Filter on shadowAccount

no userpassword means locked.

naming your variable like a module is unsmart